Да вопрос, поскольку они указывают на направление потока сообщений. Необходимо улучшить метод обработки для не переупорядочения записей.
С lsof
в качестве источника диагностики утилита, сработает ли настройка чего-либо с помощью аудита? Невозможно исчерпать пул энтропии без открытия / dev / random
, поэтому, если вы проверяете обработку открытия / dev / random
, виновник (или, по крайней мере, набор кандидатов для дальнейшее обследование) должен выпадать довольно быстро.
Возможно, поможет lsof (список открытых файлов). Это показывает, какой процесс в настоящее время держит какие файлы открытыми. В вашем случае это помогает только тогда, когда вы поймаете, что ваш процесс (ы) истощает энтропию, если этот процесс не удерживает ручку в открытом состоянии дольше.
$ lsof /dev/urandom
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
xfce4-ses 1787 to 15r CHR 1,9 0t0 8199 /dev/urandom
applet.py 1907 to 9r CHR 1,9 0t0 8199 /dev/urandom
scp-dbus- 5028 to 10r CHR 1,9 0t0 8199 /dev/urandom
firefox 6603 to 23r CHR 1,9 0t0 8199 /dev/urandom
thunderbi 12218 to 23r CHR 1,9 0t0 8199 /dev/urandom
Просто образец с моей рабочей станции. Но более глубокое погружение в lsof может помочь.
Если нет лучшего решения, вы можете задействовать большие пушки и глобально обернуть системный вызов open () для регистрации процессов, которые попытайтесь открыть /etc/[u visiblerandom.[12112 impressionJust(tm) напишите библиотеку, определяющую open (), которая ведет журналы, а затем вызывает исходную libc open ().
Подсказка: man ld. так что и /etc/ld.so.preload .
У нас было нечто похожее: https://stackoverflow.com/questions/9614184/how-to-trace-per-file-io-operations-in-linux
ПРЕДОСТЕРЕЖЕНИЕ: Сам никогда этого не делал. Это может привести к поломке вашей системы, поскольку каждый open () будет проходить через вашу библиотеку. Возможно, все в порядке в среде отладки или если вы Р. М. Столлман.
Обычно для общедоступного сервера, нуждающегося в «достаточной» энтропии, я бы предложил что-то вроде энтропийного ключа, аппаратного устройства (USB), добавляющего случайные биты в пул энтропии Linux. Но вы не разговариваете с внешним миром.
У виртуальных машин может быть проблема с отсутствием внешней случайности.
Ваше замечание «резервный контроллер домена» действительно добавляет возможное использование энтропии: домены Windows действительно используют случайные числа в сертификатах.